前言
CentOS7 及之后的版本,推荐使用 firewalld 而不是 iptables,firewalld 提供更灵活和动态的防火墙管理方式。以下是 iptables 的简单运用,firewalld 的使用请看本站另一篇文章【CentOS7 firewalld 使用】。
firewalld 可以被视为 iptables 的一个更高级的封装。
一、查看 iptables 所有规则
# 1、查看所有
iptables -L -nv
# 2、查看指定的 chain
iptables -L IN_public_allow -nv
-L:--list,列出所有规则。语法:-L [chain [rulenum]]
-n:--numeric,显示 ip 和端口号,而不是解析为域名
-v:--verbose,详细信息
-t:--table,默认是 filter 表
--line-numbers,显示规则行号,删除会用到
二、添加规则到规则链中
# 1、允许特定 IP 访问(一般用不上)
iptables -A INPUT -j DROP
iptables -A INPUT -s 192.168.1.100 -j ACCEPT
# 2、拒绝特定 IP 访问(封禁 IP)
iptables -A INPUT -s 192.168.1.100 -j DROP
# 3.1 拒绝访问 3306 数据库
iptables -A INPUT -p tcp --dport 3306 -j DROP
# 3.2 放行 ip 访问 3306、只允许建立新连接(目前我们生产环境使用)
iptables -A IN_public_allow -s 112.96.224.136 -p tcp --dport 3306 -m conntrack --ctstate NEW,UNTRACKED -j ACCEPT
-A:append,后接规则链的名称
-s:--source,语法:-s address[/mask]
-p:--protocol,协议,例如 tcp
--dport:目标端口为 3306
-m conntrack --ctstate NEW,UNTRACKED:-m 同 --match,使用连接跟踪模块,匹配状态为 NEW(新连接)或 UNTRACKED(未跟踪)的连接。只允许建立新的连接,防止某些类型的攻击(如 SYN 洪水攻击)。高流量的环境中如果连接跟踪表满了,新连接也会标记为 UNTRACKED。
-j:--jump,跳转到某个目标操作,用于指定目标操作。
ACCEPT:接受匹配数据包,允许其通过防火墙
DROP:丢弃匹配的数据包,不发送任何响应
REJECT:拒绝数据包,并发送一个拒绝响应
LOG:记录匹配数据包到日志,然后把数据包传递给下一条规则
REDIRECT:将数据包重定向本机的另一个端口。通常用于将流量重定向到本地的代理服务
NOTRACK:不跟踪数据包,用于减少连接跟踪表的负担
DNAT:目标地址转换,用于端口转发、负载均衡
SNAT:源地址转换,适合静态 IP
MASQUERADE:对匹配的数据包进行源地址伪装(NAT)。也是源地址转换,可以理解为 SNAT 的一种特殊形式,适用于动态 IP
SNAT 和 MASQUERADE 一般用于多网络接口和内网转发,比如服务器 A 有两个网络接口:
eth0:连接公网,IP 为 203.x.113.45
eth1:连接私有网络,IP 为 192.168.1.1
服务器 A 可以执行 SNAT 命令使得内网可以通过 eth0 访问外部网络。内网比如机器 B(192.168.1.100)设置网关为服务器 A 的内网 IP(192.168.1.1),请求发送给网关后就会通过 eth0 发送出去。
三、删除规则
# 1、获取规则编号
iptables -L -nv --line-numbers
# 删除
iptables -D IN_public_allow 规则编号
-D:--delete,删除
四、保存规则
上面添加、修改没有保存,重启系统后配置会重置。可使用以下两种方法保存:
1、直接修改 iptables 配置文件(CentOS7 位置:/etc/iptables.rules)
要注意,不同系统文件名可能不同。
2、使用iptables-save 保存以及 iptables-restore恢复